Nog veel onbekendheid met NIS2: bereid je goed voor!

Uit onderzoek van IT-dienstverlener Ictivity blijkt dat bijna een kwart van de securityprofessionals nog nooit van de NIS2-richtlijn heeft gehoord, terwijl deze straks grote impact gaat hebben op de cybersecurityeisen voor veel organisaties. De implementatie van NIS2 is weliswaar uitgesteld naar het derde kwartaal van 2025, maar dat betekent niet dat je kunt wachten met voorbereiden: juist nú is het moment om je cybersecurity op orde te brengen. 

Ictivity wilde graag weten hoe het staat met de bekendheid van NIS2 onder security-professionals in Nederland. Daarom lieten ze onderzoek uitvoeren onder 382 eind- en medeverantwoordelijken op het gebied van IT binnen organisaties met meer dan honderd medewerkers. 

De resultaten zijn verontrustend. Zo blijkt uit het onderzoek dat 23 procent nog nooit van de NIS2-richtlijn heeft gehoord. Onder eindverantwoordelijken is dit percentage weliswaar lager (6%), maar toch kent één op de tien de wet niet inhoudelijk en weet 19 procent niet of de richtlijn op hun organisatie van toepassing is. 

Ondertussen komt de invoering van de Cyberbeveiligingswet (Cbw) – de Nederlandse vertaling van NIS2 – steeds dichterbij. Oorspronkelijk zou deze op 17 oktober 2024 van kracht worden, maar omdat Nederland de deadline niet heeft gehaald, is de verwachting nu dat de wet in het derde kwartaal van 2025 in werking treedt. 

Security verhuist naar de boardroom 

Met NIS2 wordt de directie persoonlijk aansprakelijk voor cybersecurity binnen de organisatie. Het onderzoek toont aan dat hier nog werk aan de winkel is: vier op de tien security-eindverantwoordelijken (41%) vinden het kennisniveau van hun directie op het gebied van cybersecurity laag. Een even groot percentage denkt zelfs dat aangescherpte wet- en regelgeving zoals NIS2 de enige reden is dat hun organisatie met IT-security bezig is. 

Actie is nodig 

Ondanks dat de directie nog onvoldoende betrokken lijkt en de implementatie is uitgesteld, is het geen tijd om achterover te leunen. De reikwijdte van NIS2 is namelijk veel groter dan die van NIS1 (2016). NIS2 maakt onderscheid tussen twee typen organisaties: 

• Essentiële sectoren: Energie, transport, bankwezen, gezondheidszorg, drinkwater, digitale infrastructuur, overheid en ruimtevaart 
• Belangrijke sectoren: Post, afvalmanagement, chemische industrie, maakindustrie, voedselindustrie en onderzoek 

Deze brede scope betekent dat veel meer organisaties onder de nieuwe regelgeving zullen vallen dan voorheen. 

Wacht niet op de wet: handel nú al! 

In deze tijden van toenemende cyberdreigingen is het sowieso verstandig om je IT-beveiliging tegen het licht te houden. Ook als je nog geen wettelijke verplichtingen hebt, zijn er diverse ‘quick wins’ die je direct kunt implementeren. 

• Multi-factor authenticatie (MFA): Zorg dat medewerkers zich aanvullend moeten identificeren via bijvoorbeeld een sms-code of app, voordat ze toegang krijgen tot het netwerk en applicaties. 
• Role based access control: Leg binnen Microsoft 365 tot in detail vast wie toegang heeft tot welke systemen, zodat medewerkers alleen bij data en systemen kunnen die noodzakelijk zijn voor hun werk. 
• Medewerkerstraining: Leer je team om spam en phishing te herkennen en richt een proces in waarmee ze verdachte e-mails direct kunnen melden. 
• Up-to-date systemen: Voer regelmatig updates en patches uit om optimale bescherming te bieden tegen de nieuwste dreigingen 
• Beperkte externe toegang: Laat medewerkers alleen via een beveiligde VPN-verbinding toegang krijgen tot het interne netwerk en vergeet ook de fysieke beveiliging niet 

Wees cybercriminelen een stap voor  

Voldoe je straks niet aan NIS2? Dan riskeer je boetes tot 10 miljoen euro (essentiële bedrijven) of 7 miljoen euro (belangrijke bedrijven). Bovendien kun je aansprakelijk worden gesteld bij een cyberincident, met alle financiële, juridische en reputatieschade van dien. 

Ons advies: wacht vooral niet te lang met uitzoeken of je binnen de scope van NIS2 valt. Ook als de richtlijn niet op jou van toepassing is, is het verstandig om je IT-landschap goed te beveiligen. Cybercriminelen worden steeds vindingrijker, dus maak vooral werk van cybersecurity.